EveBox: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(→Start) |
|||
| (15 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | =EveBox als Weboberfläche für Suricata ( | + | =EveBox als Weboberfläche für Suricata (Lokal mit SQLite)= |
| − | + | ||
| + | |||
| + | |||
| + | =Ziel= | ||
*Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser | *Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser | ||
| − | *Kein Elasticsearch, keine externe DB – rein lokal | + | *Kein Elasticsearch, keine externe DB – rein lokal |
*Liest direkt die Datei /var/log/suricata/eve.json | *Liest direkt die Datei /var/log/suricata/eve.json | ||
| − | = | + | =Voraussetzung - Suricata-Konfiguration für eve.json aktivieren= |
| − | + | *vi /etc/suricata/suricata.yaml | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | *vi / | ||
<pre> | <pre> | ||
| − | + | ... | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
outputs: | outputs: | ||
- eve-log: | - eve-log: | ||
| Zeile 50: | Zeile 26: | ||
- ssh | - ssh | ||
- stats | - stats | ||
| − | + | </pre> | |
| − | + | Suricata danach neu starten: | |
*systemctl restart suricata | *systemctl restart suricata | ||
*oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml | *oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml | ||
| + | |||
| + | =Installation= | ||
| + | *sudo apt-get install curl | ||
| + | *curl -fsSL https://evebox.org/files/GPG-KEY-evebox -o /etc/apt/keyrings/evebox.asc | ||
| + | *echo "deb [signed-by=/etc/apt/keyrings/evebox.asc] https://evebox.org/files/debian stable main" | sudo tee /etc/apt/sources.list.d/evebox.list | ||
| + | *sudo apt update | ||
| + | *sudo apt install evebox | ||
| + | |||
| + | =Start= | ||
| + | *evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json | ||
| + | ;Das Passwort sieht man beim ersten Start | ||
| + | **User: admin | ||
| + | **Pass: pXbfPQqWAw9S | ||
| + | ;Oder hinter | ||
| + | *journalctl -u evebox -g admin | ||
| + | |||
| + | =Eigner Service= | ||
| + | *vi /etc/systemd/system/evebox.service | ||
| + | <pre> | ||
| + | # /etc/systemd/system/evebox.service | ||
| + | [Unit] | ||
| + | Description=EveBox Webinterface | ||
| + | After=network.target | ||
| + | |||
| + | [Service] | ||
| + | ExecStart=/usr/bin/evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json | ||
| + | Restart=always | ||
| + | |||
| + | [Install] | ||
| + | WantedBy=multi-user.target | ||
| + | </pre> | ||
| + | =Danach= | ||
| + | *systemctl daemon-reexec | ||
| + | *systemctl enable --now evebox | ||
| + | |||
| + | =Zugriff= | ||
| + | *Weboberfläche im Browser öffnen: https://<IP>:5636 | ||
| + | [[Kategorie:Suricata]] | ||
| + | [[Kategorie:Cybersecurity]] | ||
| + | [[Kategorie:Firewall]] | ||
Aktuelle Version vom 3. Juli 2025, 08:47 Uhr
EveBox als Weboberfläche für Suricata (Lokal mit SQLite)
Ziel
- Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
- Kein Elasticsearch, keine externe DB – rein lokal
- Liest direkt die Datei /var/log/suricata/eve.json
Voraussetzung - Suricata-Konfiguration für eve.json aktivieren
- vi /etc/suricata/suricata.yaml
...
outputs:
- eve-log:
enabled: yes
filetype: regular
filename: eve.json
types:
- alert
- http
- dns
- tls
- flow
- ssh
- stats
Suricata danach neu starten:
- systemctl restart suricata
- oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml
Installation
- sudo apt-get install curl
- curl -fsSL https://evebox.org/files/GPG-KEY-evebox -o /etc/apt/keyrings/evebox.asc
- echo "deb [signed-by=/etc/apt/keyrings/evebox.asc] https://evebox.org/files/debian stable main" | sudo tee /etc/apt/sources.list.d/evebox.list
- sudo apt update
- sudo apt install evebox
Start
- evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
- Das Passwort sieht man beim ersten Start
- User: admin
- Pass: pXbfPQqWAw9S
- Oder hinter
- journalctl -u evebox -g admin
Eigner Service
- vi /etc/systemd/system/evebox.service
# /etc/systemd/system/evebox.service [Unit] Description=EveBox Webinterface After=network.target [Service] ExecStart=/usr/bin/evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json Restart=always [Install] WantedBy=multi-user.target
Danach
- systemctl daemon-reexec
- systemctl enable --now evebox
Zugriff
- Weboberfläche im Browser öffnen: https://<IP>:5636